190326 逆向-MFC逆向技巧

最新推荐文章于 2024-08-14 16:05:45 发布
最新推荐文章于 2024-08-14 16:05:45 发布
阅读量2.5w 收藏 4
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/88858601
版权
MFC是微软的基础类库,用于封装Windows API并提供应用程序框架。尽管在现代开发中使用较少,但在某些场景如CTF挑战中仍有出现。MFC采用消息映射表处理消息,逆向时可通过字符串搜索、API断点和RTTI等方式找到切入点。xspy和spy++等工具能帮助分析MFC程序。
摘要由CSDN通过智能技术生成

MFC

简介

微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。
–百度百科

虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,VS2015中的MFC已经更新到了14.0版本),但偶尔还是会出现这一类的GUI的
而且由于相对于原生WindowsGUI程序的主函数被直接作为参数来说,MFC将各个触发函数放置在消息映射表里,所以相对有一些难度 因此CTF中有时会出现MFC类的题目、也需要做一些知识储备

基本机制

MFC的思想是所有类继承自基类CObject,每个类都拥有一个消息映射表和各自的成员
通常开发者自定义的窗口是继承自CDialog的,整个继承链为

MyDialog->CDialog->CWnd->CCmdTarget->CObject

当遇到消息时,会从本类的消息映射表中匹配处理对应消息的函数,如果没有找到则去父类的消息映射表中寻找,以此类推
如果直到CObject类的消息映射表寻找完都没有函数处理消息,则将消息放入默认处理函数中处理(与Windows32API的思想一致)

消息映射表是如下结构

最低0.47元/天 解锁文章
奈沙夜影
关注
专栏目录
【线程同步系列1】基于Mutex的VC++多线程同步
业精于勤,荒于嬉
09-05 382
第一个参数传入NULL,使用默认安全性第二个参数为TRUE,指示互斥对象初始拥有者,如果为TRUE,调用者创建这个互斥对象,调用的线程获得互斥对象的所有权;否则,调用线程不获得对象的所有权。第三个参数给互斥对象起个名字,如果传入NULL,则创建匿名的互斥对象。互斥对象(mutex)属于内核对象,它能够确保线程拥有对单个资源的互斥访问权。互斥对象包含一个使用数量,一个线程ID和一个计数器。ID用于标识系统中的哪个线程当前拥有互斥对象,计数器用于指明该线程拥有互斥对象的次数。
MFC软件算法逆向分析详解及技巧
最新发布
m0_67194883的博客
09-02 194
对于直接使用SDK而不使用第三方库的程序,我们要定位到程序的“关键代码”并不困难。通常在CreateWindow函数或DialogBoxParam函数下断点,可以直接获得其主界面的窗口过程或对话框过程。但是对于使用了MFC的程序,我们找到的窗口过程或对话框过程是在MFC提供的程序框架的内部,经过层层的分发和筛选,消息才最终到达用户代码,直接分析起来比较繁琐。幸好,有一个Olly的脚本,可以直接帮助我们找到诸如OnOK()之类的函数。
MFC程序逆向 – 消息篇(上)+(下)
二进制天堂
08-27 2897
费尔托斯特:单用户终生版,费尔软件 杀毒软件 65.0元    标 题: 【原创】MFC程序逆向 – 消息篇(上)+(下) 11楼作 者: szdbg时 间: 2007-10-31,06:26链 接: http://bbs.pediy.com/showthread.php?t=54150前言:记得前一段时间,我刚接触软件破解和逆向
逆向MFC程序
leibso的博客
07-28 3374
文章目录@[toc]1 MFC执行流程1.1 环境支持1.2 分析1.3 实践探索1.3.1 创建一个MFC程序1.3.2 下关键断点并调试1.4 转向MFC库源文件中观测2 逆向2.1 特征码的选择(比如我这里还是想找到InitInstance())2.2 使用调试工具(OD) 搜索特侦码咐语 1 MFC执行流程 1.1 环境支持 vs 2017 afxwin.h,afxcdialogex.h...
MFC程序逆向 – 消息篇(下)
benny5609的专栏
05-16 1307
上篇啰里啰嗦地说了一大堆,其实所说的消息都是PostMessage方式的。MFC中还有另外一种很常见的消息发送方式,就是SendMessage函 数。这个消息起始路径和上篇所讲的完全不一样。这种方式下,前面的7个站点均不执行,而是直接进入第8站点:User32内核,从第8站点出来后,这两种 消息方式走上了同一条道路,进入第9个站点或第10个站点了,真是殊道同归。对于MFC窗口程序,所有窗口都使用同
MFC框架软件逆向研究
蚁景网安学院
08-14 724
MFC库是开发Windows应用程序的C++接口。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类中,以类成员函数的形式提供给程序开发人员调用。
微信3.1.0.41逆向-微信3.1.0.41HOOK接口-MFC调用实例方法源码
01-06
微信3.1.0.41逆向-微信3.1.0.41HOOK接口(WeChatHelper3.1.0.41.dll)-MFC调用实例方法源码
XCTF mfc逆向-200
12-22
这是一个MFC程序,但我不会。。。 但是我知道mfc的程序应该都是一个个控件组成 发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息(具体的好像是Windows的消息机制,菜鸡...
MFC逆向流程-附件资源
03-05
MFC逆向流程-附件资源
MFC逆向小结
weixin_33826609的博客
03-03 591
参考来自:http://www.pediy.com/kssd/pediy12/120058.html 首先看看进入main函数的c++代码 intAFXAPIAfxWinMain(HINSTANCEhInstance,HINSTANCEhPrevInstance, _In_LPTSTRlpCmdLine,intnCmdShow) { A...
MFC消息逆向分析 1
12-10
MFC消息的逆向分析,可以包含各种WM_TIMER、WM_PAINT消息等
MFC 消息逆向分析 (看雪PDF文档) [评价可免费]
08-25
首先关于 [评价可免费] 的严重声明: 一、评价=评论加评价(评星星); 二、评价必须是下载完了该资源后的评价,没下载就评论无效; 三、如果正确评价了,返还积分可能需要等等,系统需要反应下。呵呵 评论时记得要评分。然后会返回给你花费的分再加1分.理论上有十分就可以下载完所有的资源了。一般人我不告诉他。 MFC 程序逆向 – 消息篇(上) 作者:szdbg Email:szdbg@sina.com 前言: 记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断 不下来,在系统模块中经常转得晕头转向,而一无所获。 MFC 程序是一种常见类型的程序,我静下心来,潜心研究了一下MFC 消息流程。弄清原委之后,一切豁然开朗,发现跟 踪MFC 程序和消息处理原来是如此。。。,跟踪按钮事件处理也由此变得特别简单。 于是,我将这些研究整理成文,以备后忘。并希望大家有所帮助,失误之处,请高手指正。 的确, .Net之类的程序必定是大势所趋,不过,就目前来说,MFC程序在软件市场还是占有重要的一席之地,所以,了解它,对于逆向和破解此类程序还是很有必要的. MFC之所以显的复杂,就在于它隐藏了它的消息的处理机制,可以说, 程序员基本上不需要懂得它的消息处理过程,就可以写出一套满足应用的软件来.这有好有坏,好的是大大简化了程序员写程序的过程,坏的一方面是,给一般程序员留下了一个迷团: 我只知道这样做,而不知道为什么这样做.心里老是觉得不踏实.
MFC应用程序逆向经验总结
weixin_34202952的博客
09-23 223
如何找到MFC App的InitInstance入口地址 OEP: 00401A83| E8 68040000 | call 00401EF0 | __security_init_cookiepping 00401A88| E9 36FDFFFF | jmp 004017C...
MFC程序中的消息逆向
wowbell的专栏
03-09 1546
<br />MFC中CWnd基类中包含了一个GetThisMessageMap 虚函数,用于获得指向messageMap 的指针。因此任何从CWnd派生的窗口类,都含有这个函数(在虚拟函数表中的位置好像是0x30附近)。它的代码通常形如: <br />CWnd::GetThisMessageMap<br />00511390 >/>>push    ebp<br /> 00511391 |.>mov     ebp, esp<br /> 00511393 |.>mov     eax, of
攻防世界逆向高手题之mfc逆向-200
沐一 · 林 的博客
01-02 2369
攻防世界逆向高手题之mfc逆向-200 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的mfc逆向-200 MFC类型的题目基本没接触过,现阶段也不想入门MFC语法,所以只能大量搜寻资料学个大概了。 . . 照例下载附件,扔入exeinfope中查看信息: . . 照例运行一下查看主要回显信息: 首先第一步看暗示,题目提示是MFC程序,这首先就是一个暗示,然后这里说Flag在控件里,这也是一个暗示。 . . 在这之前我们先了解一下怎么用工具获取MFC程序的控件:(总不能为了做题而做题吧) 以下
MFC逆向流程
Sanky0u的博客
08-10 7185
以前没有认真解出过MFC的题目,自上次和师姐一起研究完病毒,似乎打通了任督二脉?今天竟然两个都解出来了,不过比较简单,也还是很开心啦~~~ 题目链接:链接: https://pan.baidu.com/s/1qjp05vO0FWJXhVrGUndbbA 密码: v8bt 第一题 CrackMe2.exe 先运行一下 首先Resource Hacker查找资源,得到Resource。 ...
MFC程序逆向 – 消息篇(上)
benny5609的专栏
05-16 951
作 者: szdbg时 间: 2007-10-31,06:26链 接: http://bbs.pediy.com/showthread.php?t=54150前言:记得前一段时间,我刚接触软件破解和逆向这一行时,对于一些软件不知从何处跟踪按钮消息,试了好多方法,就是断不下来,在系统模块中经常转得晕头转向,而一无所获。MFC程序是一种常见类型的程序,我静下心来,潜心研究了一下MFC消息流程。弄清原委
逆向分析mfc程序
weixin_33894640的博客
05-22 2197
1.查看版本2.运行程序看看目的是点亮确定按扭 思路很多(直改exe文件 字符串搜索等)这里用api下断分析可以看出是vc2013 那就下点击断点 思路找特征码(与版本相关)2013 按扭事件 特征码 VS2013 Debug 静态编译 CALL DWORD PTR SS:[EBP-0x8] VS2013 Release 版静态编译 CALL DWORD PTR SS:[EBP+0x14] 直接载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值